Siber güvenlik araştırmacıları, npm paket kayıt defterinde Kubernetes yapılandırmalarını ve SSH anahtarlarını tehlikeye atılmış makinelerden uzak bir sunucuya sızdırmak için tasarlanmış yeni bir kötü amaçlı paket grubu keşfetti.
Sonatype şu ana kadar 14 farklı npm paketi keşfettiğini söyledi: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am- fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy- fe, @virtualsearchtable/virtualsearchtable ve parlaklıklar.
“Bu paketler […] yazılım tedarik zinciri güvenlik firması, ESLint eklentileri ve TypeScript SDK araçları gibi JavaScript kitaplıklarını ve bileşenlerini taklit etmeye çalışıyor söz konusu. “Ancak kurulum sonrasında paketlerin birden fazla sürümünün, hedef makineden hassas dosyaları toplamak ve aktarmak için karmaşık kod çalıştırdığı görüldü.”
Modüller, Kubernetes yapılandırması ve SSH anahtarlarının yanı sıra kullanıcı adı, IP adresi ve ana bilgisayar adı gibi sistem meta verilerini de toplayabilir ve bunların tamamı app.threatest adlı bir alana iletilir.[.]com.
Açıklama Sonatype’den bir haftadan biraz daha uzun bir süre sonra geldi saptanmış PayPal Zettle ve Airbnb geliştiricileri tarafından etik bir araştırma deneyinin parçası olarak kullanıldığı iddia edilen dahili paketleri taklit etmek için bağımlılık karışıklığı olarak bilinen bir teknikten yararlanan sahte npm paketleri.
Bununla birlikte, tehdit aktörleri, geliştirici sistemlerini tehlikeye atmak ve sonuçta yazılım tedarik zincirini zehirlemek için kripto hırsızları, bilgi hırsızları ve diğer yeni kötü amaçlı yazılımlarla npm ve PyPI gibi açık kaynaklı kayıtları hedeflemeye devam ediyor.
Phylum tarafından bu ayın başlarında vurgulanan bir örnekte, hardhat-gas-report adlı bir npm modülü, 6 Ocak 2023’ten bu yana sekiz aydan fazla bir süre boyunca zararsız kaldı ve ardından 1 Eylül 2023’te kötü amaçlı yazılımları içeren iki arka arkaya güncelleme aldı. Panoya kopyalanan Ethereum özel anahtarlarını uzak bir sunucuya sızdırabilen JavaScript.
Şirket, “Bu hedefe yönelik yaklaşım, kripto para birimi güvenliği konusunda gelişmiş bir anlayışa işaret ediyor ve saldırganın, Ethereum cüzdanlarına veya diğer güvenli dijital varlıklara yetkisiz erişim için hassas kriptografik anahtarları yakalayıp sızdırmayı hedeflediğini öne sürüyor.” dedi. söz konusu.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Başka bir vaka Tedarik zincirine saldırı girişiminde bulunuldu gcc-patch adı verilen ve ısmarlama bir paket gibi davrandığı anlaşılan kurnazca bir npm paketi içeriyordu GCC derleyicisi ama aslında “masum geliştiricilerin bilgi işlem gücünden gizlice yararlanan ve onların pahasına kar elde etmeyi amaçlayan” bir kripto para madencisini barındırıyordu.
Ancak bu tür tehditlerin çok sıklaştığının bir işareti olarak, benzer bir durum kripto hırsızlığı kampanyası Checkmarx’a göre PyPI’yi hedefleyen saldırı, sistem kaynaklarını ele geçirmek ve GitLab deposundan bir yük indirerek Dero kripto para birimini çıkarmak için Culturestreak adı verilen sahte bir Python paketinden yararlandı.
Dahası, bu tür kampanyalar Javascript (npm), Python (PyPI) ve Ruby (RubyGems) ekosistemlerini kapsayacak şekilde çeşitlendi; tehdit aktörleri veri toplama ve sızma yeteneklerine sahip çeşitli paketler yükledi ve bunu kötü amaçlı yükler taşıyan yeni sürümler yayınlayarak takip etti. .
Kampanya özellikle Apple macOS kullanıcılarını hedef alıyor; bu da açık kaynak paket depolarındaki kötü amaçlı yazılımların yalnızca giderek yaygınlaşmakla kalmayıp aynı zamanda Windows dışındaki diğer işletim sistemlerini de öne çıkardığını gösteriyor.
Phylum, “Bu paketlerin yazarı, yazılım geliştiricilere karşı geniş bir kampanya düzenliyor.” kayıt edilmiş bir analizde. “Bu kampanyanın nihai hedefi belirsizliğini koruyor.”